Пакет Яровой и несертифицированные средства шифрования

Путин получает ключи шифрования от Бортникова

Пакет Яровой сегодня обрёл форму двух законов - 374-ФЗ и 375-ФЗ.

Меня заинтересовали изменения, которые 374-ФЗ вносит в статью 13.6 (остальные все изменения уже разложены по полочкам в других местах, а новую редакцию ст. 13.6 КоАП как-то обходят мимо).

ГОСТ шифрование в SAP

При построении распределенных корпоративных ИТ систем неизбежно появляется потребность в использовании сертифицированной криптографии. На 90% эта потребность покрывается большим парком различных сертифицированных VPN решений. Однако шифрование на сетевом/транспортном уровне имеет ряд недостатков: удобным можно назвать только site-to-site решения (криптошлюзы), которые не решают проблему внутреннего нарушителя (снифера), открытым остаётся так же вопрос удалённого доступа.

Шифрование на уровне приложений частенько является более экономичным и удобным решением, и тут начинаются проблемы.

95% имеющихся на рынке продуктов, заявляющих о наличии шифрования "по ГОСТу", на деле используют внешние библиотеки (например, КриптоПро CSP). Отсюда и появляется огромная пропасть между двумя понятиями: "Наш продукт реализует шифрование по ГОСТу" и "Наш продукт реализует сертифицированное шифрование".

Если в первом случае использования Crypto API от КриптоПро CSP действительно достаточно, то во втором случае необходимо открыть формуляр на КриптоПро и прочитать в нём п.1.5:

1.5 При встраивании СКЗИ ЖТЯИ.00083-01 в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях:
- если информация конфиденциального характера, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации;
- при организации защиты информации конфиденциального характера, обрабатываемой СКЗИ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
- при организации криптографической защиты информации конфиденциального характера, обрабатываемой СКЗИ, в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд. 

Таким образом, если в вашей системе будут персональные данные, или ваша компания учавствует в госзакупках  - то пожалуйте в 8 Центр ФСБ России за согласованием.

Несмотря на то, что факт этот известен не первый год, поток маркетингового вранья из уст вендоров не пересыхает. Будьте внимательны и вовремя стряхивайте лапшу с ушей!

PS "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" давно уже устарели

Криптоскрепы

Молодой специалист, только постигающий азы толкования нормативных документов, столкнувшись с задачей обеспечения безопасности персональных данных с помощью средств шифрования, тут же наткнется на новый приказ ФСБ №378, который так и называется: "Cостав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации".

И невдомек ему, зеленому, что по старой престарой традиции к одному новому приказу могут идти в довесок ещё несколько старых или закрытых, но при этом полностью действующих руководящих документа.

Криптографию - ФСТЭКу!

Побывав на Уральском форуме, я сделал для себя важный вывод: два кресла в президиуме были заняты совершенно не тем ведомством, которое это заслуживает.

Низкоорбитальная Ионная Пушка. Урон и техника безопасности.

В марте прошлого года в нашей стране прошли президентские выборы, которые лично мне запомнились тем, что при наличии всего одного реального кандидата, отличились значительным уровнем фальсификаций.
Эпицентр последующих возмущений пришелся на соц.сети, в которых начали спонтанно и организованно появляться оппозиционные группы. Вскоре на ютюбе было выложено вот такое видео от "Анонимусов", которые призывали DDoS'ить сайты правительства и президента с помощью LOIC'а (сейчас ссылка на LOIC убрана). Под видео была подробная инструкция откуда скачать, куда и что вбить и что нажать. Где то там есть и мой комментарий о том, что не надо подставлять людей под 273 статью. Вообщем, как в воду глядел :) (бац, бац).
Два красноярских "хакера" получили приговоры (Никитин, Спасский) по ст. 273 УК РФ "Создание, использование и распространение вредоносных программ для ЭВМ" за атаку типа отказ в обслуживании на правительственные сайты. И в этих приговорах есть несколько интересных моментов...

Если к вам идёт проверка из ФСБ по ПДн...

Если вы работаете в государственном предприятии, то есть определенная вероятность того, что в одно прекрасное утро к вам на стол попадет распоряжение ФСБ о проведении плановой выездной проверки соблюдения требований к обеспечению безопасности персональных данных (в т.ч. материальных носителей биометрических персональных данных).

На что следует в первую очередь обратить внимание?

Если вы поставили ViPNet..

Допустим, для связи с ПФР/Налоговой/Казначейством/удалённым офисом вы поставили ViPNet/Континент.. 

Что же вам нужно сделать, чтобы использовать это СКЗИ для пересылки перс.данных в соответствие с требованиями ФСБ?

Куда смотрит ФСБ?

Если вы строите "пуленепробиваемую" систему защиты персональных данных, которая выдержит любую проверку любого регулятора - то вам интересно будет взглянуть на список документов, которые требует ФСБ при контроле за обработкой ПДн.